IBM Aspera High-Speed Transfer Endpoint oraz Server w wersjach 3.7.4 do 4.4.7 Fix Pack 1 zawierają podatność typu buffer overflow w komponencie asperahttpd. Błąd umożliwia zdalnym atakującym wywołanie odmowy usługi (DoS), ominięcie uwierzytelnienia (Auth Bypass) lub zdalne wykonanie kodu (RCE) bez żadnych uprawnień.
▸ Pokaż oryginał (EN)
IBM Aspera High-Speed Transfer Endpoint 3.7.4 through 4.4.7 Fix Pack 1 and IBM Aspera High-Speed Transfer Server 3.7.4 through 4.4.7 Fix Pack 1 and IBM Aspera High-Speed Transfer Endpoint are affected by a buffer overflow in the asperahttpd component. This vulnerability could be exploited to cause a denial of service and potentially lead to authentication bypass or remote code execution.
Podatność sklasyfikowana jako CWE-122 (heap-based buffer overflow) występuje w komponencie asperahttpd odpowiedzialnym za obsługę żądań HTTP w produktach IBM Aspera. Atakujący może wysłać specjalnie spreparowane żądanie sieciowe, które powoduje przepełnienie bufora na stercie (heap). Nadpisanie pamięci może prowadzić do destabilizacji procesu (DoS), obejścia mechanizmów uwierzytelnienia lub przejęcia kontroli nad wykonywaniem kodu na serwerze.
Atakujący niewymagający żadnego uwierzytelnienia może zdalnie spowodować niedostępność usługi, ominąć mechanizmy uwierzytelnienia lub uzyskać pełną kontrolę nad systemem poprzez zdalne wykonanie kodu (RCE). Podatność ma krytyczny wpływ na poufność, integralność i dostępność systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7273615. Zaleca się pilną aktualizację do wersji zawierającej poprawkę oraz ograniczenie dostępu sieciowego do komponentu asperahttpd wyłącznie do zaufanych hostów do czasu zastosowania łatki.
IBM Aspera High-Speed Transfer Endpoint w wersjach 3.7.4 do 4.4.7 Fix Pack 1 oraz IBM Aspera High-Speed Transfer Server w wersjach 3.7.4 do 4.4.7 Fix Pack 1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HIBM Aspera High Speed Transfer Endpoint
APPIbm4.4.73.7.4 – 4.4.6IBM Aspera High Speed Transfer Server
APPIbm4.4.73.7.4 – 4.4.6
Powiązane podatności
IBM Aspera High-Speed Transfer Endpoint 3.7.4 through 4.4.7 Fix Pack 1 and IBM Aspera High-Speed Transfer Serv...
IBM Aspera High-Speed Transfer Endpoint 3.7.4 through 4.4.7 Fix Pack 1 and IBM Aspera High-Speed Transfer Serv...
Certain IBM Aspera applications are vulnerable to buffer overflow based on the product configuration and valid...
Certain IBM Aspera applications are vulnerable to arbitrary memory corruption based on the product configurati...
Certain IBM Aspera applications are vulnerable to buffer overflow after valid authentication, which could allo...